Nous surveillons en permanence notre qualité de service et nous désirons connaître votre niveau de satisfaction sur les prestations que nous vous proposons. Répondre au questionnaire
Accueil > RGPD et archivage : comment s’y conformer ?
02/06/2023
RGPD et archivage : comment s’y conformer ?
La réglementation RGPD impose plusieurs obligations en matière de traitement des données personnelles. Mais quelles sont-elles exactement ? Quelle est la durée de conservation des données dans le cadre du RGPD ? Quelles sont donc les règles d’archivage des données par rapport à ce RGPD ?
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données est un texte réglementaire renforçant la protection des données personnelles des personnes physiques. Il s’applique à l’échelle européenne depuis le 25 mai 2018.
Cet ensemble de règles vise à protéger les données à caractère personnel des citoyens.
Celles-ci désignent les informations se rapportant à une personne physique identifiée ou identifiable comme son nom, son adresse, son mail, ou son adresse IP.
Le RGPD encadre ainsi la collecte, le traitement et les transferts de l’ensemble de ces données.
Ainsi, tout individu concerné doit donner son consentement explicite pour que ses données personnelles soient collectées et traitées. Il doit également être informé de manière transparente et exhaustive sur les finalités du traitement, les données collectées, les destinataires des données, la durée de conservation des données et les droits dont il dispose.
Qu’est-ce que l’archivage de données ?
Cet archivage consiste à stocker des données à long terme pour des raisons juridiques, réglementaires ou de conformité, ainsi que pour des raisons opérationnelles. Elles sont conservées dans un format qui garantit leur intégrité et leur sécurité, et le sont généralement pendant plusieurs années.
On peut alors avoir un archivage au format papier, numérique, ou les deux. Un processus qui nécessite une extrême rigueur tant pour des raisons organisationnelles que légales et financières.
Qui plus est, tous les documents n’ont pas vocation à être conservés sur la même durée. Certains le sont durant quelques années, d’autres pendant des décennies voire sans limitation de durée.
Pourquoi l’archivage est-il concerné par le RGPD ?
Le RGPD concerne tous les organismes amenés à collecter ou traiter des données personnelles. Aussi, les structures émettant des documents comportant ce type d’informations (ex : archivage de dossier médical) doivent s’y conformer. La taille de votre structure et son activité n’ont aucune influence sur l’application de cette obligation.
Cela passe par des mesures garantissant que ces données soient collectées, stockées et traitées de manière légale, équitable et transparente.
L’archivage doit ainsi veiller à conserver les documents selon les duréesimposées par la réglementation, mais pas seulement. Avec l’entrée en vigueur du RGPD s’ajoute l’obligation de bien garantir leur sécurisation et leur destruction une fois le délai échu.
Enfin, l’archivage concerne de nombreux documents comprenant eux-mêmes des données personnelles. Il peut par exemple s’agir de dossiers administratifs, ou d’une facture à un particulier avec nom, prénom, adresse…
RGPD et archivage : quelles sont les règles d’archivage des données et comment s’y conformer ?
Après avoir présenté la réglementation RGPD, l’archivage, et le lien entre les deux, voyons les règles concrètes en la matière et comment votre structure peut se conformer à ces obligations.
Durée de conservation
Conformément à l’obligation de transparence du RGPD, vous devez informer la personne concernée de la durée de conservation de ses données personnelles. Celle-ci doit correspondre à la durée d’utilisation du document archivé. S’il existe une durée légale de conservation, celle-ci fait foi. Mais une fois cette durée échue, le document doit faire l’objet d’une destruction (hors documents historiques). Une entreprise de stockage d’archives connaît les durées de conservation exactes de chaque document. Aussi, en lui déléguant vos opérations d’archivage, vous vous assurez du respect de ces règles, mais aussi de celles inhérentes au RGPD.
Des réponses à vos projets d'archivage
SGA conserve 4 millions de conteneurs, soit l´équivalent de 2 000 km linéaires d´archives, répartis dans les principales villes Françaises.
Rejoignez les 4000 clients qui utilisent SGA pour répondre à leurs besoins d'archivage. Certfié ISO 9001 et NF-Z-40-350.
Si aucune durée légale n’existe, votre structure est tenue de supprimer ou anonymiser les données si celles-ci n’ont plus vocation à être utilisées.
Dans le cas d’une action en justice, c’est le délai de prescription qui fera foi pour la suppression ou l’anonymisation.
Respect du RGPD et archivage sélectif
Une bonne solution d’archivage consiste également à procéder à une sélection parmi les documents. Celle-ci se base selon trois grands critères :
Les archives dites courantes, aux informations venant d’être traitées ou amenées à bientôt l’être. Elles restent courantes jusqu’à ce que l’objectif de leur collecte soit atteint.
Les archives intermédiaires qui concernent les documents à conserver au-delà de leur simple utilisation (par obligation légale ou pour des raisons juridiques). Pour respecter le RGPD, l’archivage permet la consultation des documents mais sans utiliser les données qui y ont été collectées. Ces archives imposent également un accès restreint à certaines personnes.
Les archives définitives qui ne concernent que celles comportant des données historiques ou scientifiques. Il convient alors de les conserver sans limitation de durée.
Le droit RGPD des personnes
Conformément au RGPD, les individus disposent d’un droit d’accès à leurs données personnelles. Ils peuvent à tout moment exiger une copie de l’ensemble des informations que vous possédez les concernant. Une action à réaliser dans un délai d’un mois à compter de la date de la demande.
Cependant, les individus ne peuvent faire valoir le droit à l’oubli ou à l’effacement de leurs données si la conservation de celles-ci est nécessaire aux obligations légales. Il en est de même pour les missions d’intérêt public.
Enfin, dans le cas d’archives définitives, les obligations RGPD ne s’appliquent pas à l’archivage. Les documents sont conservés ad vitam æternam.
Accès limités et sécurisés
La question de la sécurité des données redouble d’importance avec cette réglementation RGPD. Votre organisme doit garantir la mise en œuvre d’infrastructures suffisamment sécurisées pour la bonne conservation des archives et données personnelles qu’elles comportent. Il en va de la responsabilité de votre structure. Une fuite de données aurait des conséquences désastreuses au niveau financier, en termes d’image, mais aussi sur le plan juridique.
Là encore, solliciter un professionnel expert en archivage vous permet de vous assurer d’une sécurité optimale aussi bien pour l’archivage physique qu’électronique.
Face à la complexité entre respect du RGPD et archivage, il est souvent recommandé de passer par un expert dédié à l’ensemble de ces opérations. Toutefois, si vous souhaitez internaliser cette activité, libre à vous de bénéficier de conseils d’archivage pour optimiser ces différentes actions.